Cloudflare a annonc mercredi un nouveau projet ambitieux appel Turnstile, qui vise supprimer les CAPTCHA utiliss sur le Web pour vrifier que les gens sont bien ceux qu’ils prtendent tre. Au lieu d’inspecter le navigateur de l’utilisateur la recherche d’un cookie Google, ou de demander aux visiteurs de choisir une image montrant un objet particulier, Turnstile combine des jetons d’accs priv avec une quantit limite d’empreintes numriques du navigateur pour vrifier si l’utilisateur est un humain ou un robot. Cloudflare affirme que son outil de vrification ne dfie pas les utilisateurs et ne les profile pas.
Turnstile, une alternative au CAPTCHA qui serait plus respectueuse de la vie prive
Cloudflare a annonc la disponibilit de la version bta de Turnstile, en prvision de sa confrence Connect qui se tiendra en octobre. Dans un billet de blogue publi cette semaine, l’entreprise explique que Turnstile est une alternative invisible et plus intelligente au CAPTCHA. La solution choisie automatiquement parmi une suite tournante de dfis de navigateur qui fonctionnent dans les coulisses, la recherche de signaux indiquant la prsence d’un utilisateur humain. Turnstile peut rgler avec prcision la difficult du dfi, en prsentant des dfis plus difficiles aux visiteurs qui prsentent des comportements non humains.
Turnstile utilise le systme Managed Challenge de Cloudflare, qui s’appuie sur le comportement des utilisateurs, les donnes du navigateur et, sur les appareils Apple, les jetons d’accs privs, pour distinguer les visiteurs humains des robots et des scripts. Cloudflare affirme que son systme Managed Challenge a permis de rduire considrablement les CAPTCHA servis aux visiteurs de ses clients en un an. Le billet de blogue de Cloudflare indique en outre que ces dfis permettent d’enquter sur le visiteur, y compris la preuve du travail et de l’espace, la recherche d’API Web et « dtecter les failles du navigateur et le comportement humain ».
Cloudflare prend l’un des lments les plus dtests de la technologie Internet et le rend plus facile, plus sr et plus priv pour que tout le monde puisse l’utiliser. Turnstile est semblable notre application 1.1.1.1 qui rend chaque utilisateur et l’Internet plus sr, et nous sommes ravis de le partager avec les dveloppeurs de toute taille et n’importe o, pour une exprience de l’utilisateur final amliore et plus prive , a dclar Matthew Prince, cofondateur et PDG de Cloudflare. La socit a dclar que Turnstile est maintenant disponible gratuitement pour les propritaires de sites, qu’ils soient ou non clients de Cloudflare.
Les CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) sont des outils que vous pouvez utiliser pour diffrencier les utilisateurs rels des utilisateurs automatiss, notamment les robots. Les CAPTCHA proposent des dfis difficiles raliser pour les ordinateurs, mais relativement faciles pour les humains. Par exemple, identifier des lettres ou des chiffres tirs, ou cliquer dans une zone spcifique. Cependant, les CAPTCHA sont galement considrs comme une exprience utilisateur terrible qui sacrifie la vie prive des internautes en rcoltant leurs donnes personnelles travers les dfis qu’ils rsolvent.
Par exemple, le reCAPTCHA de Google, qui domine le march, peut demander aux utilisateurs de se connecter leur compte Google en guise de vrification. Personne ne devrait avoir donner des informations prives lorsqu’il s’agit simplement de prouver qu’il n’est pas un robot. Google a achet reCAPTCHA en 2009 et l’a utilis trs tt pour rsoudre des problmes tels que la numrisation de livres, les numros de maison dans Street View et, comme vous pouvez le deviner, l’identification d’objets tels que des escaliers, des palmiers, des taxis et autres dans les outils de reconnaissance d’images. Autant de choses pour lesquelles la solution est dcrie.
Cloudflare estime que l’omniprsence du CAPTCHA est l’une des forces de Google, car le gant de la recherche dispose d’une base stable et constamment mise jour de donnes de rsolution et de comportement sur laquelle il peut s’appuyer. Google affirme qu’il n’utilise pas ces donnes pour le ciblage publicitaire, mais au bout du compte, Google est une socit de vente d’annonces publicitaires , a dclar Cloudflare. Par exemple, un dfi frquent demandait aux utilisateurs de saisir leur nom, de dire s’ils prfrent les aubergines ou les carottes et de cliquer sur chacune des 27 images reprsentant un train.
Cloudflare lui-mme tait autrefois un utilisateur de reCAPTCHA. Mais un moment donn, Cloudflare a opt pour un service appel hCAPTCHA. John Graham-Cumming, directeur technique de Cloudflare, a dclar que les ractions ngatives et les frais imposs par certains services CAPTCHA sont en partie l’origine de sa dcision de dvelopper Turnstile. Selon Cloudflare, les dfis varient selon les visiteurs, et l’apprentissage automatique (ML) peut mettre jour le modle avec les caractristiques communes des visiteurs qui ont prcdemment pass un test. L’utilisateur ne voit qu’un widget « Verifying » pendant un instant, puis « Success ! ».
L’alternative de Cloudflare au CAPTCHA suscite le scepticisme de certains
Cloudflare a annonc que grce cette technologie, l’entreprise a rduit sa propre utilisation des CAPTCHA de 91 % et a rduit le temps pass par le visiteur dans un dfi, passant d’une moyenne de 32 secondes une moyenne d’une seconde seulement pour lancer les dfis non interactifs. Nous travaillons sur une solution depuis des annes et avons expliqu sur notre blogue, il y a quelques mois, comment nous avons rduit notre propre utilisation des CAPTCHA de 91 %. Puisque nous avons prouv que cela fonctionnait pour nous, nous voulions donner tout le monde la possibilit de se dbarrasser des CAPTCHA , a crit Cloudflare.
Pour dployer Turnstile, les administrateurs Web crent un compte Cloudflare et obtiennent le code d’intgration ncessaire, qu’ils collent ensuite dans le code de leur site Web. Aprs avoir ajout un appel ct serveur l’API Turnstile de Cloudflare, le service est oprationnel. Tout site peut appeler l’API. Si vous utilisez un service CAPTCHA existant aujourd’hui, il s’agit simplement de trouver et de remplacer la chane de code. Il est compatible avec tout autre fournisseur de rseau. Vous n’avez pas besoin d’utiliser d’autres services Cloudflare, comme notre rseau de diffusion de contenu, pour utiliser Turnstile , explique Graham-Cumming.
Mais beaucoup sont sceptiques par rapport aux dclarations de Cloudflare, allguant notamment que l’entreprise pourrait tre tente de dtourner Turnstile lorsqu’il va devenir populaire auprs de la communaut, comme l’a fait Google avec sa solution reCAPTCHA. Cloudflare – l’origine un rseau de diffusion de contenu qui s’est dvelopp dans la scurit, l’hbergement et presque tous les autres aspects de cloud computing – cite sa mission de « contribuer construire un meilleur Internet » comme la raison pour laquelle il offre un service de vrification gratuit. Dtourner Turnstile pourrait accrotre le contrle de Cloudflare sur Internet.
La socit, dont les services de proxy inverse sont utiliss par prs de 20 % de tous les sites (une panne des services de Cloudflare est tout de suite ressentie dans le monde entier), a rcemment fait parler d’elle pour son long dbat sur l’abandon de Kiwi Farms, un site o les utilisateurs organisaient des campagnes de harclement contre les personnes trans, non binaires, etc. Cloudflare a longtemps desservi le site avant de le bloquer en raison de dangers imminents pour les personnes victimes de ces campagnes de harclement. La socit a galement t critique pour sa dcision de ne pas se retirer de la Russie aprs l’invasion de l’Ukraine.
Cloudflare a galement t accus au dbut du mois de protger l’industrie DDoS, tout en vendant des services pour attnuer de telles attaques. Un dveloppeur qui fournissait des booters a critiqu Cloudflare pour avoir protg cette industrie. Dans le monde de la scurit informatique, un booter est un type de service qui fournit des attaques DDoS aux clients. L’entreprise a suscit la polmique aprs avoir publi un billet de blogue expliquant les circonstances dans lesquelles les sites Web abusifs sont ligibles ses services. Cloudflare tentait en effet de clarifier pourquoi l’entreprise modre parfois le contenu abusif et parfois non.
Cloudflare affirme que Turnstile est tout aussi scuris que CAPTCHA, tirant parti de fonctionnalits telles que les jetons d’accs privs pour minimiser la quantit de donnes collectes. Nouvellement mis en uvre dans iOS 16 et macOS Ventura, les jetons d’accs privs fonctionnent en faisant en sorte qu’un appareil envoie des informations d’authentification anonymes – des jetons – un site Web compatible sans exposer d’informations sensibles sur lui-mme. Cloudflare et le service rival Fastly ont t parmi les premiers annoncer la prise en charge des jetons d’accs priv avec le matriel Apple.
La question est de savoir si les sites seront persuads de dployer Turnstile plutt que CAPTCHA. Selon une mesure, 97,7 % des sites Web les plus frquents utilisent reCAPTCHA de Google. Cloudflare indique qu’il travaille sur des plug-ins pour les principales plateformes comme WordPress afin de faciliter le dploiement de Turnstile. Mais il faudra probablement du temps pour convaincre les administrateurs que cela en vaut la peine – supposer qu’ils soient un jour convaincus. Graham-Cumming a sembl plutt indiffrent, notant que Cloudflare n’a pas d’incitation commerciale vidente favoriser l’adoption.
Nous avons dvelopp une alternative, prouv qu’elle fonctionne bien pour nous et l’avons ouverte d’autres sites peu prs ds que nous avons pu. Puisque nous avons prouv qu’elle fonctionnait bien pour nous, nous avons voulu donner tout le monde la possibilit de se dbarrasser de CAPTCHA. Notre mission est de contribuer l’amlioration d’Internet. Nous pensons que le fait de le donner n’importe quel site Web est un moyen d’y parvenir , a-t-il dclar. Graham-Cumming a ajout que les jetons d’accs privs sont le meilleur indicateur de la direction que Cloudflare souhaite prendre l’avenir.
Source : Turnstile
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la technologie Turnstile de Cloudflare ?
Pensez-vous que Turnstile est aussi scuris que Cloudflare le prtend ?
Selon vous, Turnstile est-il une meilleure solution que CAPCHAT ? Pourquoi ?
Selon vous, en quoi l’adoption de Turnstile pourrait amliorer l’exprience et la confidentialit des internautes ?
Voir aussi